2022 年 12 月，威脅行為者通過(guò)撞庫(kù)攻擊破壞了安全應(yīng)用程序，諾頓用戶陷入高度戒備狀態(tài)。諾頓的安全團(tuán)隊(duì)在檢測(cè)到諾頓密碼管理器用戶的一系列可疑登錄嘗試后，鎖定了大約925,000 個(gè)賬戶。

調(diào)查結(jié)束后，有消息稱網(wǎng)絡(luò)犯罪分子成功破解了“數(shù)千個(gè)賬戶”的密碼，使用戶的個(gè)人信息面臨風(fēng)險(xiǎn)。

由于惡意行為者試圖接管您的賬戶，撞庫(kù)攻擊占所有登錄嘗試的34% 。但它到底是如何運(yùn)作的，我們能做些什么來(lái)阻止這些活動(dòng)呢？讓我們來(lái)看看吧。

什么是撞庫(kù)攻擊，是如何運(yùn)作的？

憑證填充是一種常見(jiàn)的網(wǎng)絡(luò)攻擊，攻擊者使用自動(dòng)化軟件快速測(cè)試被盜登錄憑證列表，以獲得對(duì)在線賬戶的未經(jīng)授權(quán)的訪問(wèn)。

那么，撞庫(kù)是如何工作的呢？攻擊者采取以下步驟：

1. 從暗網(wǎng)上購(gòu)買(mǎi)或下載用戶名和密碼列表。數(shù)據(jù)泄露后，這些數(shù)據(jù)集在非法市場(chǎng)上出售。
2. 設(shè)置自動(dòng)機(jī)器人以嘗試登錄多個(gè)用戶賬戶。機(jī)器人可以通過(guò)隱藏其 IP 地址來(lái)逃避檢測(cè)。
3. 每當(dāng)機(jī)器人找到匹配項(xiàng)時(shí)即可訪問(wèn)賬戶。此時(shí)，攻擊者可以竊取個(gè)人信息，例如信用卡號(hào)或社會(huì)保障號(hào)。
4. 當(dāng)機(jī)器人嘗試成功的密碼組合來(lái)訪問(wèn)其他帳戶時(shí)對(duì)其進(jìn)行監(jiān)控。由于65%的人依賴多個(gè)賬戶使用相同的密碼，因此使用相同的密碼對(duì)破解多個(gè)帳戶的可能性很高。

撞庫(kù)攻擊和暴力攻擊有什么區(qū)別？

暴力攻擊是另一種攻擊方法，與撞庫(kù)有一些細(xì)微的區(qū)別。

在撞庫(kù)中，攻擊者使用真實(shí)賬戶中泄露或被盜的密碼數(shù)據(jù)進(jìn)行登錄嘗試。但在暴力攻擊中，攻擊者通過(guò)猜測(cè)常用密碼和常用密碼短語(yǔ)字典來(lái)嘗試登錄。

此外，憑證填充威脅行為者知道他們擁有真正的憑證，并且只需要找到匹配的帳戶即可。而嘗試暴力攻擊的任何人都不會(huì)了解有關(guān)目標(biāo)正確憑據(jù)的任何背景信息。

因此，暴力攻擊依賴于盲目的運(yùn)氣或易于猜測(cè)的密碼。撞庫(kù)是一種數(shù)字游戲，但通過(guò)自動(dòng)化，可以帶來(lái)高額利潤(rùn)。

撞庫(kù)的后果是什么？

對(duì)于成為撞庫(kù)攻擊受害者的消費(fèi)者來(lái)說(shuō)，犯罪者確實(shí)存在竊取敏感數(shù)據(jù)、損害其財(cái)務(wù)聲譽(yù)并以身份盜竊為目標(biāo)的風(fēng)險(xiǎn)。

如果成為撞庫(kù)目標(biāo)，需要注意以下六件事：

1. 賬戶受損。如果威脅行為者獲得訪問(wèn)權(quán)限，他們可以安裝間諜軟件、竊取或銷毀數(shù)據(jù)或冒充帳戶持有者發(fā)送垃圾郵件或?qū)ζ渌繕?biāo)發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊。
2. 數(shù)據(jù)泄露。許多攻擊者試圖闖入金融機(jī)構(gòu)或高價(jià)值的政府目標(biāo)，因?yàn)樗麄兛梢詫⒎欠ㄔ诰€市場(chǎng)上的數(shù)據(jù)出售給身份竊賊和具有政治目的的團(tuán)伙。
3. 賬戶鎖定。登錄嘗試失敗次數(shù)過(guò)多后，您帳戶的安全系統(tǒng)可能會(huì)將您鎖定。這可能會(huì)擾亂您的業(yè)務(wù)或限制對(duì)電子郵件或銀行等關(guān)鍵賬戶的訪問(wèn)。
4. 勒索軟件的要求。 國(guó)家支持的黑客組織可能會(huì)控制關(guān)鍵基礎(chǔ)設(shè)施或大型企業(yè)以索要贖金。
5. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加。 被盜的用戶憑據(jù)可用于未來(lái)的攻擊，這使受害者和任何密切相關(guān)方在初次違規(guī)后面臨更大的風(fēng)險(xiǎn)。
6. 對(duì)商業(yè)信譽(yù)造成負(fù)面影響。 如果您的公司遭受違規(guī)，消費(fèi)者信任度將急劇下降。當(dāng)成千上萬(wàn)的用戶感受到他們的私人數(shù)據(jù)受到威脅時(shí)，一家公司可能會(huì)在股市上蒙受損失。2023 年，數(shù)據(jù)泄露的平均成本為445 萬(wàn)美元。

3個(gè)最近的撞庫(kù)示例

1、2022年7月，某大型戶外服裝公司

網(wǎng)絡(luò)犯罪分子利用撞庫(kù)攻擊這家戶外休閑服裝公司。這次攻擊泄露了近200,000 個(gè)客戶賬戶，暴露了包括姓名、電話號(hào)碼、性別、購(gòu)買(mǎi)歷史記錄、帳單地址和忠誠(chéng)度積分在內(nèi)的詳細(xì)信息。不久之后，該公司發(fā)出了有關(guān)數(shù)據(jù)泄露的通知信，敦促客戶更改密碼。

2. 2022年12月，某大型支付處理公司

一次攻擊影響了該支付處理器的近35,000 個(gè)用戶賬戶。雖然一些個(gè)人數(shù)據(jù)被泄露，但該公司報(bào)告沒(méi)有未經(jīng)授權(quán)的交易，但攻擊暴露了姓名、社會(huì)安全號(hào)碼和納稅識(shí)別號(hào)碼。

3.  2023年1月，知名快餐連鎖店

這家快餐連鎖店證實(shí)存在漏洞，訪問(wèn)了超過(guò)71,000 個(gè)客戶賬戶。威脅行為者進(jìn)行了幾個(gè)月的撞庫(kù)攻擊，獲得了使用客戶獎(jiǎng)勵(lì)余額的權(quán)限。被盜數(shù)據(jù)還可能包括物理地址和客戶信用卡的最后四位數(shù)字。

安全團(tuán)隊(duì)可以采取哪些措施來(lái)阻止撞庫(kù)攻擊？

2022 年，金融領(lǐng)域的撞庫(kù)攻擊同比增長(zhǎng) 45% 。隨著蓬勃發(fā)展的公司建立自己的平臺(tái)并吸引更多用戶，潛在的收益對(duì)邪惡的網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)變得更具誘惑力。

安全團(tuán)隊(duì)可以采取以下六個(gè)步驟來(lái)應(yīng)對(duì)這種威脅：

1. 實(shí)施多重身份驗(yàn)證 (MFA)。

通過(guò)為用戶帳戶添加額外的安全層，可以使威脅行為者更難獲得訪問(wèn)權(quán)限。即使某人擁有正確的憑據(jù)，他們也不太可能擁有手機(jī)、硬件密鑰或生物識(shí)別數(shù)據(jù)。在內(nèi)部使用 MFA 的公司可以鎖定其系統(tǒng)以防止撞庫(kù)。

2. 使用密碼管理器。

盡管最近流行的密碼管理器出現(xiàn)了一些漏洞，但這些應(yīng)用程序仍然是現(xiàn)代數(shù)字安全的主要內(nèi)容。每個(gè)人都可以使用密碼管理器為每個(gè)賬戶和設(shè)備創(chuàng)建和存儲(chǔ)長(zhǎng)的、獨(dú)特的、復(fù)雜的代碼，而不是依賴記憶或簡(jiǎn)單、易于猜測(cè)的密碼。

3. 鼓勵(lì)更好的密碼實(shí)踐。

通過(guò)在線內(nèi)容教育用戶固然很好，但安全團(tuán)隊(duì)必須言出必行，以保護(hù)消費(fèi)者數(shù)據(jù)。采取積極主動(dòng)的方法來(lái)消除密碼重復(fù)使用、共享代碼或?qū)⒌卿浶畔?xiě)在紙上將減少內(nèi)部攻擊的機(jī)會(huì)。

4. 留意登錄嘗試周?chē)漠惓Ｐ袨椤?/p>

一致的監(jiān)控方法可以挫敗欺詐行為。當(dāng)您發(fā)現(xiàn)登錄嘗試突然激增或異常模式時(shí)，可以阻止 IP 地址并警告合法用戶有關(guān)嘗試的黑客攻擊。鼓勵(lì)受感染的賬戶所有者更新其密碼將有助于打破攻擊生命周期。

5. 使用速率限制。

另一種防御機(jī)制是速率限制，可以阻止惡意機(jī)器人在短時(shí)間內(nèi)進(jìn)行過(guò)多的登錄嘗試。此安全功能將阻礙自動(dòng)攻擊的進(jìn)展，并且通常會(huì)阻礙攻擊者利用帳戶或通過(guò)拒絕服務(wù) (DoS)活動(dòng)淹沒(méi)網(wǎng)絡(luò)。

6.監(jiān)控暗網(wǎng)。

集合 #1-5 包含220 億個(gè)用戶名和密碼，其中許多可以通過(guò)攻擊者字典輕松破解。為了在新興網(wǎng)絡(luò)威脅面前領(lǐng)先一步，團(tuán)隊(duì)?wèi)?yīng)該監(jiān)控暗網(wǎng)中的此類集合，并在攻擊發(fā)生之前加固漏洞。

安全團(tuán)隊(duì)必須保護(hù)和教育用戶

惡意行為者可以建立一支自動(dòng)化機(jī)器人大軍，每天運(yùn)行數(shù)千或數(shù)百萬(wàn)個(gè)欺詐性登錄請(qǐng)求。2022 年初，Auth0每天檢測(cè)到近 3 億次撞庫(kù)嘗試。

為了應(yīng)對(duì)這種日益嚴(yán)重的威脅，用戶必須采用良好的密碼實(shí)踐和可靠的密碼管理器。但數(shù)據(jù)保護(hù)的真正責(zé)任在于網(wǎng)站安全團(tuán)隊(duì)和應(yīng)用程序提供商。

如果您的團(tuán)隊(duì)想要破壞攻擊周期并阻止威脅行為者，您需要一種多方面的方法，將強(qiáng)大的訪問(wèn)控制、威脅監(jiān)控和速率限制保護(hù)措施結(jié)合起來(lái)。最終，最強(qiáng)大的防御是建立在教育和安全文化的基礎(chǔ)上。